1. Загальні положення
2. Вимоги до контролю доступу
- Реалізація механізмів автентифікації та авторизації:
- Використання двофакторної аутентифікації (2FA), ЕЦП
- Підтримка рольової моделі доступу (адміністратор, оператор, користувач)
- Ліміти на кількість невдалих спроб входу та блокування облікового запису
- Механізм реєстрації та управління користувачами:
- Обмеження доступу до окремих функцій відповідно до ролей
- Автоматичне відключення неактивних сесій
- Логування подій:
- Запис інформації про входи, виходи, зміну налаштувань, доступ до конфіденційних даних
- Механізм захисту логів від несанкціонованого доступу.
3. Вимоги до захисту даних
- Шифрування даних:
- Всі конфіденційні дані мають передаватися через TLS 1.2/1.3.
- Збереження паролів виключно у захешованому вигляді (SHA-256, bcrypt).
- Використання шифрування AES-256 для збереження критичних даних.
- Захист інформації під час передачі:
- Використання VPN, захищених каналів зв’язку.
- Захист від MITM-атак (протокол HTTPS, SSL/TLS).
- Резервне копіювання та відновлення:
- Регулярне резервне копіювання даних з шифруванням резервних копій.
- Чітко визначені терміни зберігання резервних копій та механізми їх відновлення.
4. Вимоги до кібербезпеки
- Виявлення та запобігання кіберзагрозам:
- Захист від SQL-ін’єкцій, XSS-атак, CSRF-атак.
- Перевірка завантажуваних файлів на віруси та шкідливий код.
- Використання сертифікованих засобів захисту (сертифікати КСЗІ).
5. Вимоги до аудиту та звітності
- Автоматичний запис усіх критичних змін у системі
- Регулярний аналіз журналів безпеки
- Проведення щорічних аудитів безпеки (пентестинг, вразливості)
Приклад формулювання у ТВ
- Доступ до засобу інформатизації здійснюється за двофакторною автентифікацією.
- Усі паролі зберігаються у захешованому вигляді.
- Дані передаються через захищені канали зв’язку.
- Користувацькі дії логуються зберігаються не менше 12 місяців.
- Система проходить обов’язковий аудит безпеки раз на рік.
{"serverDuration": 109, "requestCorrelationId": "f8e2f65d29853f17"}